İletişim ve işleme verinin, bilgiye, bilginin hizmete dönüşüm yolculuğundaki temel süreçlerdir. Her iki sürece dair veri saklama ve veri koruma tedbirleri ise artık günümüzün en önemli gereksinimleridir. Bu amaçla yakın dönemde Avrupa bölgesinde GDPR, ülkemizde KVKK yürürlüğe girmiştir.
Veriler yurt dışına aktarılabilir mi?
KVK (Kişisel Verileri Koruma) kanununda belirtilen genel ilkeler çerçevesinde işlenmek üzere elde edilen kişisel verilerin, ancak ilgili kişinin açık rızası alınmak suretiyle yurt dışına aktarılabileceği hükme bağlanmıştır. Kanun, kişisel verilerin işlenmesi ile bu verilerin yurtdışına aktarılması bakımından aynı şartları aramaktadır. Ayrıca kişisel verilerin yurt dışına aktarılmasında ek tedbirlerin alınmasını öngörmüştür.
Kişisel verilerin yurtdışına aktarılması, KVK Kanununda, 9’uncu madde (1) fıkrasında “Kişisel veriler, ilgili kişinin açık rızası olmaksızın yurtdışına aktarılamaz.” şeklinde belirlenmiştir.
Ayrıca yurtdışına veri aktarımı;
- Kanunda belirtilen hallerin varlığında (Kanunun 5. maddesinin 2. Fıkrası ile 6. maddesinin 3. fıkrasında belirtilen şartlar) veri aktarılacak ülkede yeterli korumanın bulunması (Kurul tarafından güvenli kabul edilen ülkeler)
- Kanunda belirtilen hallerin varlığında (Kanunun 5. maddesinin 2. Fıkrası ile 6. maddesinin 3. fıkrasında belirtilen şartlar) veri aktarılacak ülkede yeterli korumanın bulunmaması halinde (Kurul tarafından güvenli kabul edilmeyen ülkeler), yeterli korumanın yazılı olarak taahhüt edilmesi ve Kurulun izninin bulunması,
durumlarında gerçekleştirilebilir.
Dilerseniz bu konuyu bir örnekle açıklayalım; Müşterileriniz verilerinin nerede saklandığını ve işlendiğini sorabilir ve bu işlemenin yurt dışında olması halinde rıza göstermeyebilirler. Hatta müşterilerinizden tek tek açık rıza almadığınız durumlarda şikayette bulunulması da söz konusu olabilir. Bu durumda bu kişilere ait verileri ya tümüyle silmeniz ya da ülke sınırları içerisinde ayrı bir platforma taşımanız gerekir. Kullandığınız bulut yazılımlar (crm, erp vb…) açısından bakıldığında bu veriyi ayrıştırmanız ve sadece ülke içerisinde barındırılan bir yapıya taşımanız teknik olarak mümkün olmayabilir. Bu nedenle daha en başta verinin ülke içerisinde saklanmasına ve işlenmesine olanak sağlayan ürün ve platformları kullanmak ilgili kanun ve yönetmeliklerle daha uyumlu hareket etmenizi sağlayacaktır.
Özetle; yerine ikame edebileceğiniz yerli yazılımlardan birini kullanmak ve verileri yurtdışına hiç çıkarmamak en güvenli yoldur diyebiliriz.
Cumhurbaşkanı Erdoğan, Bilgi Teknolojileri ve İletişim Kurumu Ulusal Siber Olaylara Müdahale Merkezi açılış töreninde yaptığı konuşmada veri güvenliğin önemine işaret ederek, “Günümüzde veri, en az petrol kadar önemli hâle geldi. Veri güvenliğini yabancı çözümlerle sağlamaya çalışmak, sınır güvenliğini yabancı askerlere emanet etmekle eşdeğerdir. Bu gerçekten hareketle, veri güvenliği konusundaki yerli ve millî çözüm çalışmalarını hızlandırıyoruz…” ifadelerini kullanmıştır.
Ulaştırma Bakanlığımızın da bu konudaki bildirimleri önemlidir. Bu konuda bir çok basın açıklaması ve uyulması gereken kurallar paylaşılmıştır. Ulaştırma ve Altyapı Bakan Yardımcısı Ömer Fatih Sayan, “Verilerimizin güven altına alınması ve yurt dışına çıkmaması için planlamalarımızı yapıyoruz. Yerli ve milli üretimi desteklemek için sağlam ve emin adımlarla ilerliyoruz. Bunun için kendi teknolojimizi üretmemiz çok önemli” ifadelerini kullanmıştır.
“Veri işleyen”, verdiğiniz yetkiye dayanarak adınıza kişisel verileri işleyen, organizasyonunuz dışındaki gerçek veya tüzel kişiler olarak tanımlanmaktadır. Verinizi emanet ettiğiniz kurumların (Veri İşleyen) verilerinizi nerede sakladığını, hangi uygulamalar ile işlediğini sormalı ve gerekli taahhütleri almalısınız.
Kullandığınız ürün ve platformlar yerli değilse ve ülke sınırları içerisinde hizmet vermiyorsa verinin yurtdışı bulut ortamlarına çıkıp çıkmadığından ve yurtdışına aktarılmadığından emin olamazsınız.
Güvenli günler dileriz.